Tutela cautelare nel caso di phishing: fumus boni iuris e colpa grave dell’utilizzatore.



8 min read

Nota a Trib. Gela, Sez. II, 17 maggio 2021.

di Antonio Zurlo

 

Le circostanze fattuali.

Il ricorrente Ignazio esponeva di avere subito, a opera di ignoti, una truffa informatica (c.d. phishing), in conseguenza della quale erano stati eseguiti, dal proprio conto corrente, pagamenti in favore di beneficiari sconosciuti. Più nello specifico, allegava che gli era stato inviato un sms, con il quale si rappresentavano accessi non autorizzati sul proprio conto e lo si invitava all’accesso a un link collegato apparentemente al sito web dell’Istituto di credito resistente e che, immediatamente dopo, veniva contattato telefonicamente da un sedicente impiegato della stessa Banca, che lo invitava a riferirgli i codici pervenuti nel frattempo, sempre tramite sms. Deducendo il rischio di fallimento dell’impresa individuale di cui era titolare, conseguente alla perdita di tali somme, necessarie per il pagamento dei dipendenti e dei fornitori, parte ricorrente domandava la condanna dell’Istituto resistente Banca alla restituzione delle somme addebitate e non ancora restituite, oltre al risarcimento del danno.

La Banca, per contro, contestava la fondatezza della domanda.

 

La decisione del Tribunale.

A giudizio del Tribunale, la domanda, sì come formulata, deve essere rigettata, per carenza di fumus boni iuris.

Invero, il D.lgs. n. 11/2010 individua gli obblighi esistenti in capo al prestatore di servizi di pagamento, in relazione agli strumenti di pagamento, e le responsabilità per operazioni non autorizzate e per l’utilizzo non autorizzato di strumenti o servizi di pagamento. Il sistema de quo comporta la responsabilità del prestatore del servizio di pagamento, salvo che lo stesso dimostri il dolo o la negligenza dell’utente; a tal riguardo, l’art. 10 stabilisce che, qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita, sia onere del prestatore di servizi di pagamento provare che l’operazione di pagamento sia stata autenticata, correttamente registrata e contabilizzata e che non abbia subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti. Del pari, l’art. 12, commi 2ter, 3 e 4, stabilisce che il pagatore non sopporti alcuna perdita se lo smarrimento, la sottrazione o l’appropriazione indebita dello strumento di pagamento non potessero essere notati dallo stesso prima di un pagamento, e negli altri casi, possa sopportare, per un importo comunque non superiore a euro 50, la perdita relativa a operazioni di pagamento non autorizzate derivanti dall’utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita; per converso, l’utente dei servizi di pagamento sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate, senza alcun limite, qualora abbia agito in modo fraudolento o non abbia adempiuto, con dolo o colpa grave, agli obblighi previsti dall’art. 7, ovvero utilizzare lo strumento di pagamento in conformità con le regole sull’emissione e l’uso e comunicare senza indugio al prestatore di servizi di pagamento il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne viene a conoscenza.

Ciò premesso, la giurisprudenza è concorde nel ritenere che la responsabilità della Banca per operazioni effettuate a mezzo di strumenti elettronici, avendo natura contrattuale, sia esclusa al ricorrere della colpa grave dell’utente e che rientri nel rischio tipico professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo[1].

Nel caso di specie, l’Istituto di credito ha esposto, senza contestazioni del ricorrente, che, per disporre le operazioni dalla home banking, dopo l’accesso, per autorizzare il pagamento sia necessario inserire i codici OTP, che si ricevono nel numero di telefono certificato, e che, per la conferma di operazioni sospette, sia prevista una misura di sicurezza aggiuntiva, ovvero l’invio di un sms al numero di cellulare certificato con il quale vengono comunicati l’operazione in itinere e un nuovo codice (OTS) per confermare l’operazione. In base alle tracciature delle operazioni svolte sul portale home banking della Banca resistente il giorno della frode dedotta è possibile ricostruire con certezza i fatti sì come svoltisi.

Dal suddetto documento risulta dimostrato che il ricorrente cliccava sul link, ricevuto via sms, che lo reindirizzava su un sito fake dell’Istituto bancario e inseriva i dati di accesso, ovvero codice titolare e codice Pin, e che il sistema di sicurezza della Banca resistente inviava al suo numero di telefono il codice per accedere alla propria home banking, che egli comunicava al falso impiegato, dal quale era stato contattato nelle more telefonicamente. Per ognuna delle successive operazioni oggetto di contestazione, il ricorrente comunicava, per telefono, al falso operatore, anche i due codici che venivano inviati per ciascuna delle disposizioni di pagamento inserite nel sistema, svoltesi nell’arco temporale di circa quarantacinque minuti.

Il giudice gelese rileva come, nella specie, i sistemi di sicurezza approntati dalla Banca resistente fossero pienamente efficaci e che soltanto la cooperazione del ricorrente, benché posta in essere non scientemente, con gli autori dell’illecito avesse reso possibile l’autorizzazione non voluta delle disposizioni di pagamento. Invero, una volta che l’Istituto di credito avvisa l’utente, per il tramite del sistema di sicurezza, dello svolgimento di una specifica operazione e gli trasmette il codice per autorizzare o meno la disposizione di pagamento, è rimesso all’utente la scelta di utilizzare il codice, così dando corso all’operazione, o arrestarsi, revocandola. In definitiva, l’autorizzazione della disposizione di pagamento dipende unicamente dall’inserimento dei codici da parte dell’utente, senza del quale l’operazione non può essere portata a compimento.

D’altro canto, una determinata operazione, pur sospetta secondo i parametri dell’Istituto di credito, potrebbe, invece, essere autenticamente e scientemente voluta dall’utente, sicché il sistema prefigurato, pur fornendo a quest’ultimo uno strumento efficace per monitorare le operazioni e, se del caso, bloccarle, fa dipendere dalle sue determinazioni l’esito delle operazioni.

Peraltro, nella guida ai servizi della Banca resistente, era puntualmente formulata l’avvertenza di non evadere qualsivoglia richiesta di fornire i codici di accesso via e-mail o telefonicamente, con onere per l’utente di “non comunicare a nessuno i codici, in quanto le nostre politiche di sicurezza non prevedono la richiesta al cliente di fornire i suoi codici di accesso via e-mail o telefonicamente”. A tal proposito, non risultavano formulate da parte ricorrente alcuna deduzione e/o eccezione in ordine alla mancata conoscenza delle clausole contrattali sull’utilizzo dei servizi home banking.

In definitiva, l’operazione abusiva contestata è stata resa possibile dal comportamento del ricorrente che ha violato l’obbligo di custodia dei codici dispositivi del proprio conto, utilizzandoli al di fuori del circuito operativo dell’intermediario e con modalità differenti da quelle stabilite, ovvero comunicandole ad un operatore, non previamente contattato, per via telefonica.

Nel caso di specie, la colpa è, peraltro, aggravata dalla reiterazione del contegno dello stesso ricorrente, che ha ripetutamente rivelato i codici di accesso di ciascuna operazione, di volta in volta comunicati tramite il sistema di sicurezza della Banca resistente, senza avvedersi della disposizione di pagamento che tramite l’inserimento di essi si autorizzava e della quale nel messaggio era contenuto la tipologia, l’importo e il beneficiario.

Quanto al profilo inerente all’illecito trattamento dei dati sensibili inerenti all’utente, dei quali la Banca resistente avrebbe dovuto prevenire l’illecita captazione per evitare accessi non autorizzati, è dirimente rilevare come il mancato inserimento dei codici avrebbe comunque impedito di autorizzare le operazioni. Non può, peraltro, sottacersi come fu lo stesso ricorrente a inserire le proprie credenziali presso il sito fake, non risulta, contrariamente, dimostrato che gli autori della truffa avessero carpito i dati dal sistema della resistente.

 

Qui l’ordinanza.


[1] Cfr. Cass. Civ., Sez. III, 05.07.2019, n. 18045: «La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell’utente, configurabile nel caso di protratta mancata attivazione di una qualsiasi forma di controllo degli estratti conto” e Cassazione civile, sez. I, 03/02/2017, n. 2950: “In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente.».

Iscriviti al nostro canale Telegram 👇

🔶Master executive di II livello in "Banking, Financial and Insurance Law"🔶

Ricerca avanzata


  • Categorie

  • Autori


  • Seleziona il periodo

Copy link
Powered by Social Snap